2017年5月17日，克羅地亞安全專家（Miroslav Stampar）發(fā)現(xiàn)了一種基于類似WannaCry的蠕蟲病毒，也是通過NSA武器庫中的漏洞進(jìn)行傳播，該蠕蟲被命名為EternalRocks（永恒之石）， “永恒之石”沒有安全驗(yàn)證開關(guān)，相比WannaCry更危險，它不像WannaCry蠕蟲使用了2個NSA攻擊工具，這個惡意軟件使用了7個以SMB為中心的NSA工具來感染那些在線且暴露SMB端口的計算機(jī)，一旦該蠕蟲獲得了入侵點(diǎn)，它將使用另一個NSA工具DOUBLEPULSAR傳播到新的那些易受攻擊的機(jī)器上去。 
 
 
“永恒之石”（EternalRocks）蠕蟲細(xì)節(jié)： 
 
 
該蠕蟲入侵同樣是利用Windows系統(tǒng) SMB 協(xié)議存在的漏洞(MS17-010)，涉及Windows XP, Vista, 7, Windows Server 2003, 2008, 2008 R2系統(tǒng)，微軟已經(jīng)發(fā)布官方安全補(bǔ)丁MS17-070，對漏洞進(jìn)行了修復(fù)（www.deshengidc.cn）

檢測方式 
病毒感染主機(jī)后，會創(chuàng)建C:Program FilesMicrosoft Updates目錄，生成多個病毒文件，如下圖： 
 
 
進(jìn)入開始菜單—控制面板—管理工具—計劃任務(wù)，展開任務(wù)計劃程序庫—Microsoft—Windows，病毒會創(chuàng)建2個計劃任務(wù)ServiceHost和TaskHost，如下圖： 
 
 
 
如何處理和防御？ 

• 切斷網(wǎng)絡(luò)

 
檢測階段發(fā)現(xiàn)的已感染病毒的主機(jī)應(yīng)立即進(jìn)行斷網(wǎng)，避免病毒進(jìn)一步在網(wǎng)絡(luò)內(nèi)擴(kuò)散。 

• 關(guān)閉TCP 445高危端口

 
對于未安裝MS17-010補(bǔ)丁的和存在Doublepulsar后門的主機(jī)，立即使用ECS安全組公網(wǎng)入和出方向策略封鎖Windows SMB服務(wù)TCP 445端口。 

• 安裝補(bǔ)丁

 
下載安裝MS17-010補(bǔ)丁:https://technet.microsoft.com/zh-cn/library/security/MS17-010